После недавнего скандала с безопасностью AUR в Yay 13.0 добавлены новые функции проверки и автоматизации
Вышло крупное обновление Yay 13.0 для популярного помощника AUR для Arch Linux, после недавнего инцидента с безопасностью в AUR, связанного с вредоносными пакетами.
Важно отметить, что обновление не меняет принцип работы AUR и не гарантирует безопасность пакетов. Вместо этого оно предоставляет пользователям дополнительные инструменты для проверки, фильтрации и автоматизации процесса проверки перед установкой или обновлением пакетов.
Ключевое нововведение — отображение времени PKGBUILD последней модификации. Теперь в результатах поиска, в меню «Йогурт» и при обновлении Yay показывает, как давно был PKGBUILD изменен пакет AUR. Хотя недавние изменения не вызывают подозрений, а более старые не обязательно безопасны, отметка времени дает пользователям еще один фактор, который можно учитывать при проверке.
Например, при поиске или обновлении пакетов AUR в yay теперь отображаются временные метки, например количество часов или дней, прошедших с момента последнего обновления PKGBUILD. Это особенно актуально в связи с недавними проблемами в сфере безопасности, поскольку пользователи стали уделять больше внимания изменениям в пакетах и активности сопровождающих.
Yay 13.0 AUR Helper
Еще одно важное изменение в yay 13.0 — поддержка конфигурации на языке Lua. Теперь Yay может загружать init.lua файл из $XDG_CONFIG_HOME/yay/init.lua, как правило, ~/.config/yay/init.lua. Существующие config.json файлы по-прежнему поддерживаются, но конфигурация на языке Lua может переопределять эти настройки. Флаги командной строки по-прежнему имеют приоритет.
Кроме того, появился новый хук UpgradeSelect, который запускается во время yay -Syu после расчета обновлений и до появления меню исключения пакетов. Он может автоматически исключать из обновлений определенные пакеты, например пакеты AUR с недавно измененными файлами PKGBUILD.
В Yay 13.0 также добавлены хуки AURPreInstall и AURPostDownload . AURPreInstall запускается после получения PKGBUILD репозиториев, но до этапов очистки, сравнения, редактирования или сборки, что делает его полезным для проверок на основе PKGBUILD содержимого. AURPostDownload запускается после makepkg --verifysource, позволяя хукам получать доступ как к PKGBUILD репозиторию, так и к загруженным исходным файлам до начала установки.
В новой версии хукам предоставляется дополнительная информация о пакетах, в том числе данные о сопровождающих пакетах AUR, а также добавлена поддержка фильтров поиска и хуков после установки. Эти функции позволяют пользователям создавать собственные проверки на предмет недавно измененных пакетов, изменений в работе сопровождающих, новых загрузок, URL-адресов источников и других метаданных.
Сопровождающий проекта Yay заявил, что цель состоит в том, чтобы избежать «театра безопасности», отметив, что автоматические проверки полезны, но не должны заменять проверку файлов сборки человеком.
Подробнее см. в журнале изменений или в объявлении о выпуске. Yay 13.0 теперь доступен в качестве обновления в AUR для пользователей Arch.
Редактор: AndreyEx
